コラム
SSLだけでは不十分?サイトのセキュリティ対策
最近よくウェブサイトのセキュリティ対策についてご質問をいただくようになり、皆様の関心も高まっている反面、
「狙われるのは有名企業や大手企業のサイトだけなのでは?」といった声も多いように感じます。
この記事では、ウェブサイトへのサイバー攻撃の脅威と、セキュリティについて簡単に分かりやすくご紹介していきます。
目次
サイバー攻撃のメインターゲットは中小企業
サイバー攻撃の数は10年で100倍に増加(国立研究開発法人情報通信研究機構調べ)に増えており、中でも大企業ではなく、中小企業がメインターゲットとなりつつあります。
大企業と比較して、中小企業ではセキュリティ対策が十分に整備されていないことが多いことが、中小企業がサイバー攻撃で狙われやすくなっている理由となっています。
企業サイトを狙うサイバー攻撃の手口とは?
●SQLインジェクション
最も代表的な手口は、企業サイトのお問い合わせフォームなどから不正な文章を送り、データベースを誤作動させ蓄積された個人情報を盗み取る(SQLインジェクション)というものです。
●クロスサイトスクリプティング
同じく被害が多いのは、サイトを改ざんし、不正に埋めまれたJavaScriptからユーザーのCookie情報を盗み取る(クロスサイトスクリプティング)というものです。
Cookieを盗み取られると、保存されたオンラインショップのID・パスワードによって不正にログインを行い、クレジットカードの情報を盗むという被害が起きます。
●DoS攻撃
サイトへ1秒間に数万回ものアクセスを行い、サーバーをダウンさせ機能停止に追い込む(DoS攻撃)ものです。
これらをはじめ、他にもさまざまな被害が起きています。では、それらの脅威からどのようにサイトを守れば良いのでしょうか?
サイバー攻撃からサイトを守るセキュリティ対策
よく「SSLの組み込みをすれば大丈夫なのでは?」とご質問をいただくのですが、
実は、以下の対策はそれぞれ異なった役割をもっており、SSLだけでは守ることができない部分もあるのです。
SSLが守るのは通信データであり、サーバやデータ自体を守るためには別の対策が必要です。
サーバ上に不要なファイルを置かない、パスワードは複雑な乱数を使用する、など基礎的な対策の他、以下のセキュリティ対策が有効です。
最新バージョンのシステムを使用
WordPressなどのWebアプリケーションは常に更新を行い最新のバージョンを保つことが重要です。
旧バージョンのままでは脆弱性を突かれサイバー攻撃を受けやすくなってしまいます。
WAFやIPSの導入
WAF(Webアプリケーションファイアウォール)やIPS(不正侵入検知システム)は、おおまかには、外部ネットワークからのウェブサイトへのアクセスを常に監視して、不正アクセスがないかを監視、ブロックするためのシステムです。
企業サイトやCMSなどのコンピュータープログラムは人の手で作られている以上、脆弱性を完全に排除することは困難ですが、攻撃のパターンを読み取り自動的に対応するため、企業サイトに脆弱性があったとしても「DoS攻撃」や「SQLインジェクション」、「クロスサイトスクリプティング」などから防御が可能です。
これらのセキュリティが備わったサーバを選ぶと安心です。
SSLによる通信の暗号化
SSLとは、ユーザーとサーバー間の通信を暗号化する仕組みです。
ブラウザ⇔サーバ間で送受信される個人情報や決済情報などの通信データの盗聴を防ぐ・通信データの書き換えを防ぐ他、なりすましを防ぐといった役割があります。
SSLを導入すれば、もし通信を攻撃者に盗聴されてしまったとしても、情報が暗号化されているので読み取れず、悪用を防ぐことができます。
また、SSLを導入するとブラウザ上に鍵マークが表示され、ユーザーが簡単に見分けられるようになっています。
個人情報を入力するページでは「SSL未対応だと不安」という声が8割を超えるなど、未対応の場合お問い合わせや商品の注文を躊躇されてしまう可能性も十分にあるため、セキュリティ強化だけでなく、コンバージョンの機会損失を防ぐ意味でも重要となっています。
SSLには共用の無料や有料のものがありますが、なりすましでないことを証明する、【企業認証】がおすすめです。
おすすめのセキュリティ対策
SiteLock
SiteLockとは、サイトを監視し、攻撃者によるの不正改ざんをチェック・マルウェア※を見つけ駆除する他、脆弱性を診断しセキュリティのアドバイスをするといった役割をもっています。
※マルウェアとは、Web閲覧感染型やメール添付型をはじめ様々なものがあり、ユーザーがサイトを閲覧するだけで知らないうちに自分のパソコンが感染しパソコン内の情報流出、金銭被害などを引き起こすものもあります。
おわりに
もし攻撃の対象になってしまった場合は、サーバーダウンやデータを破壊されるなど本来被害者のはずなのに、結果的に踏み台とされ加害者となってしまうこともありえます。
各セキュリティ対策はそれぞれ守備の範囲が異なるため、複合的に防御することが必要です。
どれかひとつだけを導入すれば安心ということはなく、複数のセキュリティサービスを組み合わせて、万全の体制を作るのがおすすめです。
投稿者:プランニングA WEBチーム 野々下